如果公司丢失了笔记本电脑，IT最应当担心的是什么？是数据损失！而整盘加密产品可以保证在企业的笔记本电脑丢失或被窃后，其敏感信息仍能安然无恙。

　　整盘加密产品如何运行

　　整盘加密解决方案可以对系统的整个硬盘进行加密，加密的范围包括操作系统和应用程序及存储在其上的数据。在系统启动时，它会提示用户输入密钥，从而使系统启动并正常运行。在系统从磁盘上读取数据时，会对数据动态加密，并存储在内存中，而且写往磁盘的任何信息也被动态加密。如果窃贼或黑客没有正确的加密密钥，将无法访问存储在磁盘上的数据。

　　整盘加密与文件级的加密不同，主要在于它可以自动并透明地确保存储在硬盘上的所有数据的安全，其中也包括可能包含机密数据的交换文件和隐藏文件，而且它不需要用户的干预。

　　整盘加密的一个缺点是，它无法保护网络传送中的文件。如果通过电子邮件发送文件，或将其复制到快闪记忆卡，文件就无法加密。为此，在部署整盘加密时，你还需要考虑部署文件级加密。这样一来，用户们就可以手动加密需要与他人共享的文件。

　　多数整盘加密产品允许用户在启动之前就提供一个加密密钥，而且其加密方法也有多种：

　　1、以口令或密码的形式加密。
　　2、允许用户插入一个包含密钥的U盘。
　　3、使用一个RSA令牌之类的一次性口令生成设备
　　4、使用某种生物识别设备，如使用包含着真正加密密钥的指纹识别器（通常连接到一个可信的平台模块）。

　　对许多系统而言，管理员还可以设定两种认证方法，从而创建一种双因素认证系统。

　　如果没有密钥，对于使用了现代的整盘加密的驱动器上的数据来说，几乎任何人都不可能解密。这意味着如果一个用户丢失了或遗忘了其密码，那么存放在加密硬盘上的数据将永远无法被访问，除非该整盘加密产品的加密部分与一个支持密钥恢复的密钥管理系统协同工作。

　　整盘加密系统涉及某种处理器来执行动态加密和解密而且与应用程序所要求的磁盘I/O的数量息息相关。对于执行典型的电子邮件和办公活动的用户来说，其性能影响不可能非常明显，但对于数据密集型的活动（如视频处理等）其影响就非常巨大，除非计算机的主处理器和整盘加密产品都支持英特尔的AES-NI指令，以实现硬件加速的加密和解密。

　　易受攻击的漏洞

　　没有哪个安全系统是绝对安全的，而整盘加密系统易于遭受各种攻击，其中包括：

　　1、访问加密密钥。在用户们将包含加密密钥的U盘与计算机一起存放时，访问加密密钥对于窃贼来说简直是小菜一碟。此外，用户们还有可能被社交工程“忽悠”而泄露口令。
　　2、笔记本电脑在通电工作状态时失窃。整盘加密只能在计算机关闭时才能保护数据。这意味着如果电脑正在运行但无人监管时被窃取，窃贼就完全可以访问数据。
　　3、高级内存访问技术。整盘加密系统要求在系统运行时将加密密钥放在内存中。由于DRAM芯片的内容在系统关闭后仍能保留几秒到几分钟的时间，因而不法份子就有可能切断一台无人看管的笔记本电脑的电源，然后通过一个内存记忆卡或CD启动到另一个操作系统，再读取并保存DRAM的内容。窃贼可以从这些数据中析取密钥，并用于日后的攻击。

　　此外，有些应用程序将信息放在主驱动器的启动扇区上，这些信息会被整盘加密系统覆盖，导致其无法工作。

　　在评估整盘加密产品时需要关注如下几个方面：

　　1、支持的操作系统
　　2、认证方法
　　3、密钥管理系统和恢复的选项
　　4、遵循FIPS-140的加密模块
　　5、对英特尔的AES-NI指令的支持

　　在这里，尤其要提到是一款开源的免费整盘加密软件：TrueCrypt。它可支持Windows、OS X及Linux等，并支持AES-NI指令。该软件的好处是免费，这对于小型企业来说很有吸引力。不过，它并没有密钥管理系统。所以，如果遗忘了密码，就没有办法解密并访问磁盘了。

　　如今，各大安全厂商都相继推出了自己的整盘加密产品，用户在选择时不妨从上述五个方面进行考虑。